Configurer et restreindre l'accès des utilisateurs aux sessions Wi-Fi
L'exemple suivant vous explique pas à pas comment limiter l'accès des utilisateurs aux sessions Wi-Fi avec UserLock, à l'aide de l'authentification RADIUS et de comptabilisation RADIUS (Accounting).
Schéma d'ensemble
Démarrer
Conventions
Remarque pour cet exemple, nous utilisons les conventions suivantes:
- • "NPS" pour parler de "Network Policy Server" (disponible pour Windows Server 2008 et les éditions ultérieures) ou "IAS" pour parler de "Internet Authentication Service" (disponible pour Windows Server 2003 et les éditions antérieures).
Prérequis
- Un point d'accès Wi-Fi compatible et configuré avec l'authentification RADIUS et RADIUS Accounting.
- Si RADIUS Accounting n'est pas configuré, UserLock ne recevra pas les notifications de fermeture de session et ses données seront donc incomplètes. C'est pourquoi toutes les instances de la comptabilité RADIUS sont en gras.
Remarques
RADIUS (Remote Authentication Dial-In User Service) est un protocole d’authentification et de comptabilisation. L’authentification RADIUS et RADIUS Accounting sont deux choses différentes, et les deux sont nécessaires pour être compatibles avec UserLock. En règle générale l'authentification RADIUS se fait sur le port 1812 ou 1645 et RADIUS Accounting sur le port 1813 ou 1646.
NPS est l'implémentation Microsoft de RADIUS à partir de Windows Server 2008. Il est le successeur d'IAS utilisé dans les éditions jusqu'à Windows Server 2003.
Wi-Fi est une norme pour les communications sans fil. Il est possible de configurer RADIUS pour Wi-Fi en fonction des points d’accès. L'authentification RADIUS et and Accounting sont requises pour que UserLock puisse gérer les sessions Wi-Fi.
Actuellement, il n'est pas possible de forcer la déconnexion des sessions Wi-Fi (et VPN) avec UserLock. Cela n’est possible qu’avec les sessions Interactive (desktop) et IIS.
Configurer le point d'accès (AP)
Vérifiez que l'authentification RADIUS et RADIUS Accounting sont bien configurés sur le point d’accès Wi-Fi.
Installer l’agent NPS de UserLock sur le serveur NPS
-
Depuis la console UserLock, déployez l'agent NPS sur le serveur NPS :
-
Sous le serveur NPS, exécutez CMD (ou PowerShell) en tant qu'administrateur et exécutez les commandes suivantes (attention: cela déconnectera toutes les connexions Wi-Fi actives à ce moment):
- net stop remoteaccess
- net stop ias
- net start ias
- net start remoteaccess
-
Depuis la console UserLock, vérifiez que le statut de l'agent NPS est "Installé".
Comment limiter les utilisateurs à 1 session Wi-Fi
-
Créez un compte protégé appelé "Tout le monde" pour appliquer cette nouvelle règle à tous les utilisateurs.
-
Configurez le compte protégé "Tout le monde" pour limiter chaque utilisateur à une session Wi-Fi.
Test des restrictions UserLock
-
Établissez une connexion Wi-Fi avec un compte (dans cet exemple, le compte "Alice"). La connexion est réussie. Vous pouvez voir la session dans la console UserLock.
-
Essayez maintenant d'ouvrir une deuxième connexion Wi-Fi avec Alice, ce sera refusé
Avancé
Autres restrictions que vous pouvez appliquer aux connexions Wi-Fi
D'autres restrictions sont également possibles pour les sessions Wi-Fi: par exemple, en définissant les Heures de travail, les quotas de temps...
Pour en savoir plus sur toutes les règles vous permettant de définir les conditions d'accès au réseau, veuillez consulter la section d'aide "Comptes protégés".
Mode d’authentification Wi-Fi
UserLock ne peut pas surveiller les sessions interactives et les sessions Wi-Fi pour les ordinateurs du domaine sur lesquels l'agent Station est installé.
Si la machine est membre du domaine et que l'agent Station est installé, le Wi-Fi doit être configuré avec «authentification ordinateur» pour que l'agent Station fonctionne correctement.
Pour les machines qui ne font pas partie du domaine, le mode d'authentification Wi-Fi doit être configuré avec «authentification utilisateur» pour surveiller les sessions Wi-Fi.
Le mode d'authentification Wi-Fi peut être modifié dans les propriétés de l'adaptateur réseau Wi-Fi ou via GPO.